¿Cómo bloqueo la herencia / aplicación de un solo GPO?

Debido a la carga de trabajo generada por los recientes brotes de ransomware (Cryptolocker / Cryptowall / etc.), Recientemente tuve la tarea de implementar políticas de restricción de software para bloquear la ejecución del programa desde directorios temporales. Esto generalmente funciona bastante bien, pero tenemos un problema cuando necesitamos instalar software, ya que estas políticas de restricción de software evitan que los instaladores accedan a los directorios temporales de la máquina.

Nuestra jerarquía de Active Directory está básicamente organizada según las líneas de nuestros sitios físicos, y nuestros objetos AD heredan aproximadamente una docena de GPO de la raíz del dominio y sus unidades organizativas de sitio específicas. Como tal, no tengo la opción de crear una OU de política bloqueada fuera de la raíz del dominio (ya que no heredar la configuración de la Política de grupo específica del sitio causa grandes problemas con las máquinas, y los usuarios remotos no tienen la habilidad suficiente para resolverlas ), o volver a vincular objetos de directiva de grupo más cercanos a las unidades organizativas secundarias (ya que eso implicaría varios cientos de operaciones de desvinculación y vinculación, que no estoy dispuesto a hacer), o crear una unidad organizativa secundaria en cada una con herencia bloqueada (porque habría varios cientos de operaciones de enlace para hacer en ese caso).

Dicho esto, necesito una forma de detener temporalmente la aplicación de la política de restricción de software GPO, para que podamos instalar software de vez en cuando. Intenté resolver esto inicialmente creando una unidad organizativa secundaria en cada sitio y vinculando una política de restricción de software inversa, pensando que la mayor precedencia de la política inversa anularía la heredada, pero eso no funcionó en absoluto: un RSOP mostró que las computadoras se estaban volviendo complementarias disallowy unrestrictedreglas, y las disallowreglas ganan en ese escenario.

Entonces, con todo eso en mente (no se puede volver a vincular todos nuestros GPO, no se puede crear una OU bloqueada de herencia simple, y un GPO con mayor precedencia no parece resolver mi problema), ¿qué puedo hacer para [temporalmente] bloquear la aplicación de los GPO de restricción de software heredados? Suponga clientes de Windows 7 en un dominio / bosque de Server 2008 R2 FL.

Agregue las máquinas especificadas a un Grupo de seguridad de Active Directory y agregue el Grupo al GPO con un "Denegar" para "Aplicar política" (No caiga en una denegación completa ya que evitará que el nombre del GPO enumere, lo que dificulta la resolución de problemas ) Luego, agregue las máquinas a ese grupo según sea necesario.

Simplemente use la opción "Aplicar a todos los usuarios excepto los administradores locales" en la Aplicación de políticas de restricción de software ... no deja que todos sus usuarios se ejecuten como Administrador ... ¿verdad?

Como alternativa, quizás podría definir las Políticas de restricción de software en la parte de Configuración de usuario del GPO, luego usar el Filtro de seguridad para permitir que ese GPO solo se aplique a un grupo de usuarios de seguridad en particular.